节假日的安全性
帮助电子商务应对迫在眉睫的威胁
毫不奇怪,圣诞季伴随着更多网络攻击机会,电子商务行业便是主要目标。无论组织在网上销售什么产品——服装、电子产品、旅游体验等,节日主题的促销活动都不幸成为攻击者的热门目标,因为安全和 IT 部门在促销期间往往负担过重,更有可能猝不及防。
这种趋势说明,问题不在于是否做好准备应对攻击,而在于哪类攻击对您企业的风险最大。
除了建立强大的基线来抵御常见的 Web 应用程序威胁(例如 DDoS 攻击和零日漏洞利用),有效的安全策略需要一定程度的优先级,预测哪些更专业的攻击类型可能会在节假日影响企业,并做好相应准备。
回答以下四个问题可以帮助启动优先级确定流程。确定之后,电子商务组织将更具优势,有望在圣诞季大获成功,这段时间的年收入占比可能高达 30%。
您的产品对价格有多敏感?
您的产品限量吗?
您使用第三方支付系统吗?
您接受加密货币支付吗?
问题 1:您的产品对价格有多敏感?
有些产品和服务,例如成本较低、高度商品化或广泛供应的产品和服务,竞争公司之间微小的价格差异也会对客户的购买决定造成重大影响。在节假日促销期间,如果一家公司的价格比竞争对手稍微高出一点,其销量就会大幅下降。
因此,如果产品对价格敏感,公司在圣诞季应特别警惕价格抓取机器人,这些机器人负责扫描网站的价格信息,然后将这些信息反馈给竞争对手。利用这些信息,竞争者可以确保自己的产品定价稍微低一点,因为低价是一个重要优势。
与其他类型的机器人相比,价格抓取机器人可能更难被发现,因为它们不会造成明显的后果,例如身份验证失败、异常购买行为或新用户账户激增等情况。帮助识别价格抓取机器人的信号包括:
流量激增,与预期的消费者行为不匹配,因为价格抓取机器人在不断扫描您的网站
网站性能下降,原因同上
指向竞争者网站的流量 IP 源站
如果您确实在自己的网站上发现了价格抓取机器人,或怀疑它们可能在节日促销期间瞄准自己,速率限制等策略有助于防止它们影响您的网站性能。但是,很可能仍然需要投资更先进的机器人管理服务,利用机器学习和详细的威胁情报来过滤掉自动流量。
问题 2:您的产品是限量供应吗?
对于某些产品,稀缺性是一种有价值的营销策略。例如:备受瞩目的消费电子产品、音乐会门票、限量版时装,甚至非同质化代币 (NFT)。
销售这些产品的公司在圣诞购物季应该格外警惕库存囤积机器人(即“圣诞怪杰机器人”)。这些机器人会自动购买产品或服务,速度比人类要快,但它们通常是为了在二手市场上加价出售。例如,限量版运动鞋已经成为一个专门的机器人类别——“抢鞋机器人”的目标。
库存囤积机器人的影响显而易见——产品在几分钟内抢购一空。问题是,等您发现时,损害已经造成,您真正的客户已在沮丧之中。为防止此类机器人的抢购,考虑采取以下策略:
质询:使用托管质询,确保只有真正的用户可以购买。CAPTCHA 替代方案现可用作托管质询,确认用户是真人,没有 CAPTCHA 验证体验。
速率限制:限制机器人的购买频率。
设置“蜜罐”:蜜罐是针对不良行为者的虚假目标,一旦被访问,就会将不良行为者暴露为恶意对象。就机器人而言,蜜罐可以是 robots.txt 文件禁止机器人访问的站点上的网页。良性机器人会读取 robots.txt 文件,并避开该网页;一些不良机��器人会与网页互动。通过跟踪访问蜜罐的机器人的 IP 地址,可以识别并阻止不良机器人。
不幸的是,其中有些策略会损害用户体验,甚至可能无法阻止最先进的机器人——因此,面临库存囤积风险的公司可能还必须投资于使用机器学习和先进行为分析的专用机器人管理。
问题 3:您接受信用卡支付吗?
在圣诞季,每家电子商务公司都必须保护其支付系统免遭各种威胁。例如,信用卡填充攻击利用盗取的信用卡号轰炸支付系统,Magecart 攻击则从客户那里盗取信用卡号。
但是,使用第三方支付服务的公司还有一些需要担忧事情——确保支付 API 的安全。如果 API 有一个未知漏洞,或者容易受到 API 十大安全风险的影响,攻击者可能可以截获信用卡信息。身份验证攻击也可能造成同样的后果,攻击者窃取相关的 API 密钥,或截获并使用身份验证令牌。
防范此类攻击的第一步往往是首先识别 API。所有行业中,零售业的 API 流量增速位居第二,因此,电子商务公司应在圣诞季来临之前使用 API ��终端发现服务。发现任何有风险的端点后,他们就可以采用以下策略:
模式验证:具体来说,就是阻止不符合 API“模式”(即应该接受的请求模式)的 API 调用。
特定 API 滥用检测:了解滥用流量,并根据对每个 API 端点流量的最新了解,利用以 API 为中心的速率限制来阻止超额、滥用的 API 流量。
API 安全策略对其他第三方服务(例如库存跟踪器、基于位置的服务和动态定价工具)也很重要,但支付系统可能是最有吸引力的目标,因为它们使用财务数据,因此在节日促销期间值得特别关注。
问题 4:您接受加密货币支付吗?
所有加密货币交易都记录在相应的区块链上,这是一份超长记录清单,位于由许多计算机组成的去中心化网络上。为了将网店与这些去中心化网络连接起来,大多数企业使用专门的 API 或网关服务。
从理论上讲,区块链交易无法伪造或更改,但对相应的 API 来说并非如此。这些连接器是加密货币盗窃的常见目标。而且,由于加密货币市场发展迅猛且不受监管,其相应的 API 和网关可能不会受到与其他支付工具同等的安全审查。
为防止此类威胁在圣诞季扰乱加密货币支付,电子商务公司应该探索上述 API 安全策略,即模式验证和 WAF 规则。
继续优先级确定流程
回答这些问题是风险优先级确定流程中的一个重要步骤,但这还只是开始。理想情况下,企业将能够分析往年圣诞季的攻击数据,预测未来的威胁。他们还可以考虑以下因素:
哪些攻击类型可能产生最大的财务影响,包括收益损失和缓解成本
哪些攻击类型发生数据丢失或泄露的风险最大
哪些攻击最有可能导致网站停机
Cloudflare 可以帮助确定优先级,Cloudflare 安全中心纳入了每个计划中,帮助组织清点 IT 资产,列举潜在的安全风险,更轻松地开展潜在威胁调查。
此外,Cloudflare 的应用程序安全服务可以帮助缓解本文涉及的所有威胁,以及 DDoS 攻击、机器人攻击、零日漏洞等。
Cloudflare 就影响当今技术决策者的最新趋势和主题发布了系列文章,本文为其一。
关键要点
哪些专门的 Web 应用程序威胁对您的组织构成较大风险
何时需要特别注意 API 安全、机器人管理和其他安全因素
为什么节假日期间增强安全态势非常重要